Skip to main content

A governança da segurança cibernética é essencial para as organizações, integrando políticas e diretrizes em todos os níveis. O gerenciamento envolve avaliação, monitoramento e relatórios de conformidade, garantindo segurança em todos os aspectos, do operacional ao estratégico.

Uma governança de segurança eficaz, segundo o Instituto de Governança de TI, alinha estratégias cibernéticas com TI e objetivos organizacionais. Maximiza o valor de negócio, gerencia riscos proativamente e mede o desempenho com indicadores-chave.

Para enfrentar desafios futuros de cibersegurança, a governança de segurança deve:

  1. Antecipar ameaças emergentes e cenários dinâmicos.
  2. Adaptar-se à rápida evolução da revolução tecnológica.
  3. Cultivar uma força de trabalho consciente do ciberespaço, trabalhando nas atitudes das pessoas em relação à segurança.
  4. Priorizar a transformação da cultura de trabalho.

Desafio comum: Muitas organizações enfrentam o problema de não reconhecer a segurança cibernética como uma questão multidimensional e intersetorial. É frequentemente percebida como um desafio técnico ou tecnológico, relegando-a apenas ao departamento de Tecnologia da Informação (TI).

A ISO/IEC 27014, parte da série ISO/IEC 27000, estabelece padrões e diretrizes para a governança de sistemas de TI. Com cinco processos (avaliar, dirigir, monitorar, comunicar e garantir a segurança do sistema de TI) e princípios como estabelecer segurança da informação em toda a empresa, adotar uma abordagem baseada em risco e alinhar estratégias de TI com a estratégia global da empresa.

Para desenvolver o quadro de governança de cibersegurança, deve ser adotado os seguintes princípios:

  1. Gestão de Riscos: Adotar uma abordagem de gestão de riscos cibernéticos alinhada à apetência da organização, superando ameaças por meio de uma abordagem baseada em risco.
  2. Estratégia Integrada: Após avaliação e mitigação de riscos, desenvolver uma estratégia de segurança alinhada aos objetivos de TI e de negócios, integrando-a à estratégia organizacional.
  3. Políticas e Normas: Criar políticas de segurança abrangentes, abordando cada aspecto da estratégia e regulamentação. Para cada política, desenvolver normas adequadas, garantindo conformidade.
  4. Monitoramento Institucionalizado: Implementar processos de monitorização para garantir a conformidade com políticas, procedimentos e diretrizes de segurança, assegurando eficácia nas opções de mitigação de riscos.
  5. Avaliação Contínua: Conceber processos de avaliação e atualização persistentes para políticas, procedimentos, diretrizes e riscos de segurança, garantindo adaptação às mudanças no ambiente cibernético.
  6. Estrutura Organizacional: Propor  uma estrutura organizacional de segurança que integra e governa todas as atividades relacionadas à segurança cibernética.

Durante a concepção da estrutura de governança de segurança, as seguintes tarefas devem ser executadas:

  1. Desenvolver Estratégia de Segurança Cibernética: Alinhar à estratégia global da organização, para apoiar efetivamente os objetivos empresariais.
  2. Obter Compromisso da Alta Administração: Garantir apoio e comprometimento da alta administração em todas as atividades de segurança em toda a organização.
  3. Definir Funções e Responsabilidades: Estabelecer claramente funções e responsabilidades para implementar o programa de governança de segurança em toda a organização.
  4. Conceber Canais de Comunicação: Desenvolver canais e técnicas de comunicação e denúncia que apoiem efetivamente as atividades de governança de segurança.
  5. Abordar Preocupações Legais e Regulamentares: Analisar e abordar as preocupações legais e regulamentares atuais e futuras relacionadas à segurança cibernética, avaliando seu impacto potencial na organização.
  6. Estabelecer e Manter Políticas de Segurança: Garantir a criação e manutenção de políticas de segurança que estejam alinhadas com as metas e objetivos de negócios.
  7. Desenvolver Procedimentos e Padrões: Assegurar o desenvolvimento de procedimentos, diretrizes, padrões e melhores práticas que sustentem as políticas de segurança da informação.
  8. Desenvolver Modelo de Caso de Negócios: Criar um modelo de caso de negócios que forneça análises de valor para respaldar os investimentos em segurança da informação.

O desenvolvimento de um plano estratégico de cibersegurança eficaz envolve:

  1. Integração com Planos Estratégicos: O plano de cibersegurança é integrado aos planos estratégicos de TI e organizacionais, proporcionando uma visão holística da segurança em toda a empresa.
  2. Componentes Estratégicos: Compreende três componentes principais – planejamento estratégico organizacional, planejamento estratégico de TI e planejamento estratégico de segurança, garantindo alinhamento global.
  3. Gestão de Riscos de Segurança Cibernética: Identificação, análise e tratamento de riscos, com avaliação contínua e desenvolvimento de um programa de gerenciamento de risco.
  4. Política de Segurança Cibernética: Desenvolvimento de políticas alinhadas com padrões, diretrizes e melhores práticas, abordando responsabilidades, funções, processos, requisitos de auditoria e níveis de risco aceitáveis.
  5. Gerenciamento de Resposta a Incidentes: Preparação, detecção, resposta, mitigação, recuperação, relato e aprendizagem proativa de incidentes de segurança cibernética, integrados ao quadro de governança de segurança.
  6. Planos de Continuidade de Negócios e Recuperação de Desastres: Desenvolvimento de planos para garantir a continuidade das operações em casos de violações de segurança ou desastres.
  7. Programa de Treinamento e Conscientização em Educação em Segurança (SETA): Desenvolvimento de programas educacionais para a conscientização e treinamento em segurança, com foco no capital humano e liderança.
  8. Investigação e Desenvolvimento: Preparação de programas de inovação e pesquisa para enfrentar desafios em constante evolução na cibersegurança.
  9. Colaborações Internacionais e Regionais: Estabelecimento de colaborações entre governos, agências, indústrias, academias e o público, considerando a natureza global da cibersegurança.
  10. Estruturas de Segurança Organizacional: Desenvolvimento de uma estrutura organizacional independente e eficaz, com autoridade e recursos suficientes para lidar com a dinâmica das ameaças cibernéticas.

A proposta busca orientação estratégica, gerenciamento eficiente de riscos e otimização de recursos.

 

Se você se interessa em como a TI pode impulsionar a governança eficiente, fique ligado nos próximos textos.

 

Autor: Tatiane Franklin

Referência: Melaku, H. M. (2023). A dynamic and adaptive cybersecurity governance framework. Journal of Cybersecurity and Privacy3(3), 327-350

 

Proximos cursos abordando o tema acima:

 

Leave a Reply